Following tutorial shows how to setup Windows Server 2016 (single NIC, behind NAT/Firewall) as a L2TP / IPSec VPN Server.
Install Remote Access Role
- Open Server Manager > Manage > Add Roles and Features and add Remote Access role.
- On Role Services screen choose only DirectAccess and VPN (RAS).
Enable and Configure Routing and Remote Access
- Open Server Manager > Tools > Routing and Remote Access
- Right click on server name and choose Configure Routing and Remote Access.
- Follow the wizard and choose options Custom Configuration and VPN Access.
- Right click on server name and choose Properties.
Create Active Directory VPN Group
- Open Active Directory Users and Computers.
- Create a new security group and add all users that will have permission to connect via VPN.
Create and Configure Remote Access Policy
- Open Server Manager > Tools > Network Policy Server
- Open Policies, right click on Network Policies and click on New
- Configure as follows:
Make registry changes to allow L2TP behind NAT
This registry change needs to be done on the VPN server and all Windows VPN clients:
- Open regedit.exe
- Navigate to HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
- Create a new DWORD 32 type value:
- Name: AssumeUDPEncapsulationContextOnSendRule
- Data: 2
0 — No connection to servers behind NAT (Default).
1 — Connection where VPN server is behind NAT.
2 — Connection where VPN server and client are behind NAT.
- Reboot computer for changes to take effect.
April 2018
Windows Server Standard 2016
В этом кратком руководстве мы опишем процесс установки и настройке VPN-сервера на базе Windows Server. Все действия, описанные в этой статье, были выполнены на Windows Server 2016, но эта инструкция подходит для любой современной серверной операционной системы Windows, начиная с Windows Server 2008 R2 и заканчивая Windows Server 2016.
Итак, давайте начнем. Прежде всего нам нужно настроить роль удаленного доступа (Remote Access). Для этого в оснастке Server Manager запустите мастер добавления ролей и выберите роль Remote Access.
Затем, в списке служб роли выберите опцию «DirectAccess and VPN (RAS)«.
В дополнение к роли удаленного доступа и средствам управления, также автоматически будут установлены веб-сервер IIS и внутренняя база данных Windows (WID). Полный список установленных функций можно просмотреть в окончательном окне мастера, появляющимся перед тем, как вы подтвердите установку.
Установить роль Remote Access вместе со всеми необходимыми опциями можно всего одной командой PowerShell:
Install-WindowsFeature -Name DirectAccess-VPN -IncludeAllSubFeature -IncludeManagementTools
После установки роли вам необходимо включить и настроить службу с помощью оснастки «Маршрутизация и удаленный доступ» (Routing and Remote Access) — rrasmgmt.msc.
В оснастке RRAS выберите имя сервера, щелкните правой кнопкой мыши и выберите «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access) в открывшемся меню.
В мастере настройки выберите пункт Custom configuration.
В списке служб выберите опцию VPN access.
После этого система предложит вам запустить службу Маршрутизации и удаленного доступа.
Служба VPN установлена и включена, теперь ее необходимо настроить. Снова откройте меню сервера и выберите пункт «Свойства».
Перейдите на вкладку IPv4. Если у вас нет DHCP-серверов в сети, вам необходимо указать диапазон IP-адресов, которые будут получать клиенты при подключении к VPN-серверу.
Кроме того, на вкладке Security вы можете настроить параметры безопасности — выбрать тип проверки подлинности, установить предварительный общий ключ для L2TP или выбрать сертификат для SSTP.
И еще пара нужных моментов, которые следует иметь в виду при настройке VPN-сервера.
Во-первых, вам нужно указать пользователей, которых будет разрешено подключаться к этому VPN-серверу. Для автономного сервера настройка выполняется локально, в оснастке «Управление компьютером». Чтобы запустить оснастку, вам нужно выполнить команду compmgmt.msc, затем перейдите в раздел «Локальные пользователи и группы». Затем вам нужно выбрать пользователя, открыть его свойства, а на вкладке «Dial-In» отметьте пункт «Разрешить доступ» (Allow access). Если компьютер является членом домена Active Directory, те же настройки можно сделать из оснастки ADUC.
Во-вторых, проверьте, открыты ли все необходимые порты на брандмауэре Windows и межсетевом экране, осуществляющим NAT-трансляцию. Теоретически, когда вы устанавливаете роль RRAS, соответствующие правила автоматически включаются, но на всякий случай проверьте их самостоятельно. Список разрешенных правил для входящего трафика:
- Routing and Remote Access (GRE-In) — протокол 47 (GRE)
- Routing and Remote Access (L2TP-In) – TCP/1701, UDP/500, UDP/4500 и протокол 50 (ESP)
- Routing and Remote Access (PPTP-In) — TCP/1723
- Secure Socket Tunneling protocol (SSTP-in) – TCP/443
Если ваш VPN-сервер находится за NAT, для корректной установки VPN-соединения по протоколу L2TP/ipsec, на стороне клиента необходимо в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent создать ключ с именем AssumeUDPEncapsulationContextOnSendRule и значением 2.
На этом все. Теперь, когда у вас имеется настроенный VPN-сервер, вы можете подключиться к нему с помощью VPN-клиента.
Виртуальная частная сеть (VPN) позволяет вам безопасно подключаться к вашей частной сети из Интернета и защищает вас от интернет-атак и перехвата данных.
Чтобы установить и настроить VPN (или роль «Удаленный доступ») на сервере 2016, это многошаговый процесс, поскольку для успешной работы VPN необходимо настроить несколько параметров на стороне VPN-сервера.
Как установить и настроить VPN-сервер 2016 с настраиваемой политикой IPsec для соединения L2TP / IKEv2.
В этом пошаговом руководстве мы рассмотрим настройку VPN Server 2016 с использованием протокола туннелирования второго уровня (L2TP / IPSEC) с настраиваемым ключом PreShared для обеспечения более безопасных VPN-подключений.
Шаг 1. Добавьте роль удаленного доступа (VPN-доступ) на Server 2016.
Шаг 2. Настройте и включите маршрутизацию и удаленный доступ на сервере 2016.
Шаг 3. Включите политику IPsec для соединений L2TP / IKEv2.
Шаг 4. Настройте сервер сетевой политики.
Шаг 5. Включите соединения L2TP / IPsec за NAT.
Шаг 6. Проверьте, есть ли «IKE» Службы «Агент политики IPsec» работают.
Шаг 7. Разрешите L2TP / IPSEC-соединения с PreShared Key на сервере и клиенте.
Шаг 8. Выберите, какие пользователи будут иметь доступ к VPN.
Шаг 9. Настройте брандмауэр для разрешения доступа VPN.
Шаг 10. Подключитесь к VPN Server 2016 с клиентского компьютера Windows.
Шаг 1. Как добавить роль удаленного доступа (VPN-доступ) на сервере 2016 года.
Первым шагом для настройки Windows Server 2016 в качестве VPN-сервера является добавление Удаленный доступ роль {прямой доступ VPN (RAS) сервисы} к вашему Серверу 2016. *
* Информация: для этого примера мы собираемся настроить VPN на компьютере под управлением Windows Server 2016 с именем «Srv1» и с IP-адресом «192.168.1.8».
1. Чтобы установить роль VPN в Windows Server 2016, откройте «Диспетчер серверов» и нажмите Добавить роли и особенности.
2. На первом экране мастера добавления ролей и компонентов оставьте Ролевая или функциональная установка вариант и нажмите Следующий.
3. На следующем экране оставьте параметр по умолчанию «Выберите сервер из пула серверов«и нажмите Следующий.
4. Затем выберите роль удаленного доступа и нажмите следующий.
5. На экране «Функции» оставьте настройки по умолчанию и нажмите следующий.
6. На информационном экране «Удаленный доступ» нажмите следующий.
7. В разделе «Удаленные службы» выберите Прямой доступ и VPN (RAS) Ролевые службы, а затем нажмите следующий.
8. Затем нажмите Добавить функции.
9. щелчок следующий опять таки.
10. Оставьте настройки по умолчанию и нажмите следующий (дважды) на экранах «Роль веб-сервера (IIS)» и «Службы роли».
11. На экране «Подтверждение» выберите Перезагрузите сервер назначения автоматически (если требуется) и нажмите Установить.
12. На последнем экране убедитесь, что установка роли удаленного доступа прошла успешно и близко Мастер.
13. Затем (из диспетчера сервера) инструменты меню, нажмите на Управление удаленным доступом.
14. Выбрать Прямой доступ и VPN слева, а затем нажмите Запустите Мастер начала работы.
15. Затем нажмите Развернуть VPN только.
16. Продолжать часть 2 ниже, чтобы настроить маршрутизацию и удаленный доступ.
Шаг 2. Как настроить и включить маршрутизацию и удаленный доступ на сервере 2016.
Следующим шагом является включение и настройка VPN-доступа на нашем Сервере 2016. Для этого:
1. Щелкните правой кнопкой мыши на имени сервера и выберите Настройте и включите маршрутизацию и удаленный доступ. *
* Примечание: Вы также можете запустить настройки маршрутизации и удаленного доступа, используя следующий способ:
1. Откройте Диспетчер серверов и из инструменты меню, выберите Управление компьютером.
2. Разверните Услуги и приложения
3. Щелкните правой кнопкой мыши на Маршрутизация и удаленный доступ и выберите Настройте и включите маршрутизацию и удаленный доступ.
2. щелчок следующий в «Мастер настройки сервера маршрутизации и удаленного доступа».
3. выберите Пользовательская конфигурация и нажмите Следующий.
4. Выбрать VPN доступ только в этом случае и нажмите Следующий.
5. Наконец нажмите финиш.
6. При появлении запроса на запуск службы нажмите Начало.
7. Теперь вы увидите зеленую стрелку рядом с именем вашего сервера (например, «Svr1» в этом примере).
Шаг 3. Как включить пользовательскую политику IPsec для соединений L2TP / IKEv2.
1. В Маршрутизация и удаленный доступ щелкните правой кнопкой мыши на имени вашего сервера и выберите Свойства.
2. В Безопасность выберите вкладку Разрешить настраиваемую политику IPsec для соединения L2TP / IKEv2 и затем введите Предварительный ключ (для этого примера я набираю: «TestVPN @ 1234»).
3. Затем нажмите Методы аутентификации кнопку (выше) и убедитесь, что Microsoft зашифрованная аутентификация версии 2 (MS-CHAP v2) выбран, а затем нажмите ХОРОШО.
4. Теперь выберите IPv4 выберите вкладку Статический адресный пул и нажмите Добавлять.
5. Здесь введите диапазон IP-адресов, который будет назначен клиентам, подключенным к VPN, и нажмите хорошо (дважды), чтобы закрыть все окна.
например Для этого примера мы будем использовать диапазон IP-адресов: 192.168.1.200 — 192.168.1.202.
6. Когда появится всплывающее сообщение: «Чтобы включить настраиваемую политику IPsec для соединений L2TP / IKEv2, необходимо перезапустить маршрутизацию и удаленный доступ», нажмите хорошо.
7. Наконец щелкните правой кнопкой мыши на своем сервере (например, «Svr1») и выберите Все задачи> Перезагрузить.
Шаг 4. Как настроить сервер сетевой политики.
1. Чтобы настроить сервер сетевой политики, щелкните правой кнопкой мыши Ведение журнала удаленного доступа и политики и выберите Запустить NPS
2. На NPS (Местный) Выбрать Сетевые политики. Здесь вы увидите, что политики имеют красный ИКС.
3. Дважды щелкните по каждой политике и измените с Запретить доступ к Предоставление доступа и нажмите ХОРОШО.
Шаг 5. Как включить соединения L2TP / IPsec за NAT.
По умолчанию современные клиенты Windows (Windows 10, 8, 7 или Vista) и Windows Server 2016, 2012 Операционные системы 2008 не поддерживают соединения L2TP / IPsec, если компьютер Windows или сервер VPN расположены за NAT. Чтобы обойти эту проблему, вы должны изменить реестр следующим образом:
1. Одновременно нажмите Windows 
+ р ключи, чтобы открыть окно запуска команды.
2. Тип смерзаться и нажмите Войти.
3. На левой панели перейдите к этой клавише:
- HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Sevices PolicyAgent
4. Щелкните правой кнопкой мыши на PolicyAgent и выберите новый -> DWORD (32 бит) Значение.
5. Для нового имени ключа введите: AssumeUDPEncapsulationContextOnSendRule и нажмите Войти.
* Примечание: значение должно вводиться всеми заглавными буквами и без пробелов.
6. Дважды щелкните этот новый ключ DWORD и введите данные значения: 2
7. близко Редактор реестра. *
* Важный: Если у вас возникают проблемы при подключении к вашему VPN-серверу с клиентского компьютера Windows (Windows Vista, 7, 8, 10 и 2008 Server), вам необходимо добавить значение «AssumeUDPEncapsulationContextOnSendRule» в следующем разделе реестра, а затем перезагрузить машина:
- HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services PolicyAgent
8. Перезагрузка VPN-сервер.
Шаг 6. Убедитесь, что IKE Службы агента политики IPsec работают.
После перезагрузки перейдите в панель управления службами и убедитесь, что следующие службы запущены и работают. Для этого:
1. Одновременно нажмите Windows + р ключи, чтобы открыть окно запуска команды.
2. В командной строке запуска введите: services.msc и нажмите Войти.
3. Убедитесь, что запущены следующие службы: *
-
- Модули ключей IKE и AuthIP IPsec
- Агент политики IPsec
* Заметки:
1. Если вышеперечисленные службы не запущены, дважды щелкните по каждой службе и установите Тип запуска в автоматическая. Затем нажмите хорошо а также перезапуск сервер.
2. Вы должны убедиться, что вышеуказанные службы также работают на клиентском компьютере Windows.
Шаг 7. Разрешите L2TP / IPSEC-соединения с PreShared Key на сервере и клиенте.
Теперь мы должны разрешить L2TP-соединения с пользовательским предварительным ключом как на сервере 2016, так и на клиенте Windows. Для этого:
1. Одновременно нажмите Windows + р ключи, чтобы открыть окно запуска команды.
2. В командной строке запуска введите: ММС и нажмите Войти.
3. От файл выберите Добавить / удалить оснастку.
4. Выберите Управление политикой безопасности IP и нажмите на Добавлять.
5. Оставлять Локальный компьютер на экране «Выберите компьютер или домен» и нажмите Финиш.
6. щелчок хорошо еще раз, чтобы закрыть окно «Add Remove Snap ins».
7. Щелкните правой кнопкой мыши на Политики IP-безопасности на локальном компьютере и выберите Создать политику безопасности IP …
8. щелчок следующий в «Мастере политики безопасности IP».
9. Теперь введите имя для новой политики (например, «Политика сервера») и нажмите следующий.
10. На следующем экране мы выберем Активируйте правило ответа по умолчанию если у вас есть клиент Widows XP и следующий.
11. Затем на Метод аутентификации правила ответа по умолчанию Выбрать Используйте эту строку для защиты обмена ключами и затем введите Предварительный ключ (например, «TestVPN @ 1234» в этом примере). Когда закончите, нажмите следующий.
12. На следующем экране снимите флажок Флажок Изменить свойства и нажмите на Финиш.
13. Затем щелкните правой кнопкой мыши на Политика сервера и нажмите на Присвоить.
14. близко MMC без сохранения настройки консоли на Console1.
15. Перезагрузка сервер. *
* Примечание. Не забудьте также внести изменения в клиентские компьютеры Windows.
Шаг 8. Как выбрать, какие пользователи будут иметь VPN-доступ.
Теперь пришло время указать, какие пользователи смогут подключаться к VPN-серверу (разрешения Dial-IN).
1. открыто Диспетчер серверов.
2. От инструменты меню, выберите Active Directory — пользователи и компьютеры. *
* Примечание. Если ваш сервер не принадлежит домену, перейдите по ссылке Управление компьютером -> Локальные пользователи и группы.
3. Выбрать пользователей и дважды щелкните по пользователю, которому вы хотите разрешить доступ VPN.
4. Выберите Ввести номер вкладка и выберите Разрешить доступ. Затем нажмите хорошо.
Шаг 9. Как настроить брандмауэр для разрешения доступа VPN (переадресация портов).
Следующим шагом будет разрешение VPN-подключений в брандмауэре.
1. В верхней части нашего браузера введите IP-адрес вашего маршрутизатора: (например, «http://192.168.1.1» в этом примере) и войдите в веб-интерфейс маршрутизатора.
2. В настройках конфигурации маршрутизатора перенаправьте порт 1723 на IP-адрес компьютера, на котором вы создали новое входящее соединение, и который действует как VPN-сервер. (См. Руководство вашего маршрутизатора о том, как настроить переадресацию портов).
- Например, если компьютер, на котором вы создали входящее (VPN) соединение, имеет IP-адрес 192.168.1.8, вам необходимо перенаправить порт 1723 на этот IP-адрес.
— Если вы хотите обеспечить максимальную безопасность, вы можете использовать другой неиспользуемый внешний порт для VPN-подключений (диапазон портов: 1-65535). См. Эту статью, чтобы найти неиспользуемый порт: Список номеров портов TCP и UDP
- Например, если вы укажете случайный (неиспользуемый) порт 34580 для входящих VPN-подключений, вы будете защищены от вредоносных программ, которые сканируют хорошо известные открытые сетевые порты, а затем подвергают риску вашу сеть.
Вы сделали!
Дополнительные инструкции:
- Чтобы иметь возможность подключаться к вашему VPN-серверу на расстоянии, вы должны знать общедоступный IP-адрес VPN-сервера. Чтобы найти общедоступный IP-адрес (с ПК с VPN-сервером), перейдите по этой ссылке: http://www.whatismyip.com/
- Чтобы вы всегда могли подключиться к своему VPN-серверу, лучше иметь статический публичный IP-адрес. Чтобы получить статический публичный IP-адрес, вы должны связаться с вашим интернет-провайдером. Если вы не хотите платить за статический IP-адрес, вы можете настроить бесплатную службу динамического DNS (например, no-ip.) На стороне вашего маршрутизатора (VPN-сервер).
- Для настройки нового VPN-соединения на вашем клиентском компьютере см. Следующие инструкции: Как настроить VPN-клиент.
Шаг 10. Как подключиться к VPN Server 2016 с клиентского компьютера Windows.
Теперь пришло время подключиться к нашему VPN Server 2006 с клиентского компьютера.
-
1. Откройте Центр управления сетями и общим доступом.
2. щелчок Создать новое соединение или сеть
3. Выбрать Подключиться к рабочему месту и нажмите Следующий.
4. Затем выберите Используйте мое интернет-соединение (VPN).
5. На следующем экране введите Общедоступный IP-адрес сервера VPN и VPN-порт, который вы назначили на стороне маршрутизатора, а затем нажмите Создайте.
например Если внешний IP-адрес: 108.200.135.144, и вы назначили порт 35000 для VPN, введите: 108.200.135.144:3500 в поле Интернет-адрес. В качестве имени получателя введите любое имя (например, «L2TP-VPN»).
6. Введите имя пользователя и пароль для VPN-подключения и нажмите Connect.
7. Если вы настроите VPN на клиентском компьютере с Windows 7, он попытается подключиться. Нажмите Пропускать а затем нажмите близко, потому что вам нужно указать некоторые дополнительные настройки для подключения VPN.
8. В Центре управления сетями и общим доступом нажмите на Измените настройки адаптера слева.
9. Щелкните правой кнопкой мыши новое VPN-соединение (например, «L2TP-VPN») и выберите свойства.
10. Выберите Безопасность вкладка и выберите Уровень 2 (Туннельный протокол с IPsec (L2TP / IPsec) а затем нажмите на Расширенные настройки.
11. В разделе «Дополнительные настройки» введите предварительный ключ (например, «TestVPN @ 1234» в этом примере) и нажмите хорошо
12. Затем нажмите на Разрешить эти протоколы и выберите Microsoft CHAP версии 2 (MS-CHAP v2)
13. Затем выберите сетей Вкладка. Мы дважды щелкнем на Интернет-протокол версии 4 (TCP / IPv4) открыть свой свойства.
14. Для Предпочитаемый DNS-сервер введите Локальный IP-адрес VPN-сервера (например, в этом примере «192.168.1.8»).
15. Затем нажмите кнопку «Дополнительно» и снимите флажок Использовать шлюз по умолчанию в удаленной сети потому что мы хотим отделить наш интернет-браузер на ПК от VPN-соединения.
16. Наконец нажмите хорошо постоянно закрывать все окна.
17. Теперь дважды щелкните на новом VPN-соединении и нажмите Connect, подключиться к вашему рабочему месту.
Это оно! Дайте мне знать, если это руководство помогло вам, оставив свой комментарий о вашем опыте. Пожалуйста, любите и делитесь этим руководством, чтобы помочь другим.
I wanted to create a VPN server that I could use to access my home internet connection (Sky Fibre). I chose L2TP for this task as I want to connect to the VPN fairly frequently with the iPhone/iPad. As the IOS devices have a built in L2TP VPN client and I didn’t want to rely on a 3rd party one this made it an easy choice. For Windows 10 machines connecting in to my VPN I setup an SSTP VPN connection on the same server. The reason for this was that Windows 10 doesn’t play well with L2TP behind a NAT firewall. The setup for the L2TP VPN is as below.
Firstly build a Windows 2016 server, VM or physical it doesn’t really matter. I used a VM as I can spin it up/down and snapshot as needed. For notes on installing Windows 2016 Server please see here.
You then need to install the Remote Access role. To do this open Server Manager and start the Add Roles and Features wizard. Select the Remote Access Role and click Next.
Click Next again
Click Next again
Click Add Features and click Next
Click Next
Accept the Web Server Role service selections and click Next
Click Install
Wait for the installation to finish
Once the role has installed click the Open he Getting Started Wizard option from the server manager
Select Deploy VPN Only
You now have access to the Routing and Remote Access console
Right click on your server name and select Configure and Enable Routing and Remote Access
Click Next
If you only have one network interface select Custom configuration and click Next
Select VPN Access and click Next
.
Click Finish
Click Start service
Wait for the service to start
Right click on your server name and click Properties. Leave the general tab as it is and click on Security
Ensure that you only have EAP and MS-CHAP v2 selected
Check the Allow custom IPsec policy for L2TP/IKEv2 connection box. Enter a strong password for this – I use 62 characters.
Click the IPv4 tab and select Static address pool. Enter a range of addresses to use for DHCP when on the VPN.
Select the Logging tab and check the Log additional Routing and Remote Access information box
Click OK and you will be prompted to restart the Routing and Remote Access Service, do this now.
Next we need to create a secure user account to access the VPN. Click Start>Run and type compmgmt.msc to access computer management. Right click on Users and click New User. Give the user a name and a strong password.
Right click on the user account and click Properties. Click the Dial-in tab and select Allow access, then click OK. If you want to use NPS to control access at this point select Control access through NPS Network Policy.
Open the Windows Firewall with Advanced Security applet.
Right click on Inbound Rules and click New Rule, click Port and click Next
Select UDP and type port 1701 then click Next
Click Allow the connection and then click Next
Apply the rule to all profiles and click Next
Give the rule a name and then click Finish. Once this rule is created repeat the process for UDP ports 500 and 4500.
the rules should appear as below
Now as I do not have a fixed external IP address for this server and am sitting behind a NAT firewall (Provided by my broadband supplier Sky – which I can’t change) I will need to forward ports from my router to the RRAS VPN server. To do this you will need to set up something like the below:
Now all you need to do is create a VPN profile on your client (in this case an iPhone). Enter the server name (this is the external DNS name or IP address for your internet connection). As I am restricted to a dynamic external IP address I use DuckDNS for a domain name so that I don’t lose track of the IP and can’t connect. I have created a step-by-step guide on how to set this up here. Select the type as L2TP and enter the account details that you created earlier and the shared secret.
You should now be able to connect without any issues
NAT-T does not seem to work well with Windows 10 and the basic home routers that come with some broadband connections. I could not get Protocol 50 ESP to forward correctly from the Windows 10 clients. For this reason I set up an SSTP VPN on the same server which I will discuss in my next post.
There is a registry fix which is supposed to encapsulate packets as UDP to get windows 10 clients to work but this never worked for me. The fix from Microsoft is listed here if you want to try. As I say it never actually worked for me but others say they have had success with it.
You basically need to create a new DWORD here:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
name the DWORD:
AssumeUDPEncapsulationContextOnSendRule
Then give it a value of 2
In this tutorial you will find step by instructions to setup an L2TP VPN Access Server on Windows Server 2016. The Virtual Private Network (VPN) allows you to securely connect to your private network from Internet locations and it is protecting you from Internet attacks and data interception.To install and configure the L2TP/IPSec VPN access on Server 2016 it’s a multi step process, because you have to configure several settings on the VPN server’s side to accomplish the successful VPN operation.
How to Install a L2TP/IPSec VPN Server 2016 with Custom Preshared Key.
In this step by step guide, we go through the L2TP VPN Server 2016 setup using the Layer Two Tunneling Protocol (L2TP/IPSEC) with a custom PreShared key, for a more secure VPN connection.
Step 1. Install the Routing and Remote Access Role on Server 2016.
Step 2. Configure and Enable Routing and Remote Access on Server 2016.
Step 3. Configure the Preshared Key for the L2TP/IKEv2 connections.
Step 4. Open the Required Ports in Windows Firewall.
Step 5. Configure the VPN Server to Allow the Network Access.
Step 6. Enable L2TP/IPsec Connections Behind NAT.
Step 7. Check that the Required L2TP Services are running.
Step 8. Select the VPN Users.
Step 9. Configure ISP’s Firewall to Allow the L2TP VPN Access.
Step 10. Setup the L2TP/IPSec VPN Connection on Clients.
Step 1. How to Add Remote Access (VPN Access) role on a Server 2016.
The first step to setup a Windows Server 2016, as a VPN server is to install the Remote Access role {Direct Access & VPN (RAS) services} to your Server 2016. *
* Info: For this example we’re going to setup VPN on a Windows Server 2016 machine, named «Srv1» and with IP Address «192.168.1.8».
1. To install VPN role on Windows Server 2016, open ‘Server Manager’ and click on Add Roles and Features.
2. At the first screen of ‘Add Roles and Features wizard’, leave the Role-based or feature-based installation option and click Next.
3. At the next screen, leave the default option «Select server from the server pool» and click Next.
4. Then select the Remote Access role and click Next.
5. At ‘Features’ screen leave the default settings and click Next.
6. At ‘Remote Access’ information screen, click Next.
7. At ‘Remote Services’, choose the Direct Access and VPN (RAS) role services and then click Next.
8. Then click Add Features.
9. Click Next again.
10. Leave the default settings and click Next (twice) at ‘Web Server Role (IIS)’ and ‘Role Services’ screens.
11. At ‘Confirmation’ screen, select Restart the destination server automatically (if required) and click Install.
12. At the final screen, ensure that the installation of the Remote Access role is successful and Close the wizard.
13. Then (from Server Manager) Tools menu, click on Remote Access Management.
14. Select Direct Access and VPN on the left and then click to Run the Getting Started Wizard.
15. Then click Deploy VPN only.
16. Continue to step-2 below to configure Routing and Remote Access.
Step 2. How to Configure and Enable Routing and Remote Access on Server 2016.
The next step is to enable and configure the VPN access on our Server 2016. To do that:
1. Right click on the Server’s name and select Configure and Enable Routing and Remote Access. *
* Note: You can also launch Routing and Remote Access settings, by using the following way:
1. Open Server Manager and from Tools menu, select Computer Management.
2. Expand Services and Applications
3. Right click on Routing and Remote Access and select Configure and Enable Routing and Remote Access.
2. Click Next at ‘Routing and Remote Access Server Setup Wizard’.
3. Choose Custom configuration and click Next.
4. Select VPN access only in this case and click Next.
5. Finally click Finish.
6. When prompted to Start the service click Start.
7. Now you will see a green arrow beside your Server’s name (e.g. «Svr1» in this example).
Step 3. How to Enable Custom IPsec policy for L2TP/IKEv2 connections.
Now its time, to allow a custom IPsec Policy on Routing and Remote Access server and to specify the custom Preshared key.
1. At Routing and Remote access panel, right click on your server’s name and select Properties.
2. At Security tab, choose Allow custom IPsec policy for L2TP/IKEv2 connection and then type a Preshared key (for this example I type: «TestVPN@1234»).
3. Then click the Authentication Methods button (above) and make sure that the Microsoft encrypted authentication version 2 (MS-CHAP v2) is selected and then click OK.
4. Now select the IPv4 tab, select Static address pool and click Add.
5. Here type the IP Address Range that will be assigned to VPN connected clients and click OK (twice) to close all windows.
e.g. For this example we’re going to use the IP address range: 192.168.1.200 – 192.168.1.202.
6. When you are prompted with the pop up message: «To enable custom IPsec policy for L2TP/IKEv2 connections you must restart Routing and Remote Access», click OK.
7. Finally right click on your server (e.g. «Svr1») and select All Tasks > Restart.
Step 4. Open the Required Ports in Windows Firewall.
1. Go To Control Panel > All Control Panel Items > Windows Firewall.
2. Click Advanced settings on the left.
![image_thumb[11]](https://www.wintips.org/wp-content/uploads/2020/03/image_thumb11_thumb-1.png "image_thumb[11]")
3. At the left, select the Inbound Rules.
4a. Double click at Routing and Remote Access (L2TP-In)
4b. At ‘General’ tab, choose Enabled, Allow the connection and click OK.
5. Now, right click at Inbound Rules on the left and select New Rule.
6. At the first screen, select Port and click Next.
7. Now select the UDP protocol type and at ‘Specific local ports’ field, type: 50, 500, 4500.
When done click Next.
8. Leave the default setting «Allow the Connection» and click Next.
9. At the next screen, click Next again.
10. Now, type a name for the new rule (e.g. «Allow L2PT VPN») and click Finish.
11. Close the Firewall settings.
Step 5. How to Configure the Network Policy Server to Allow the Network Access.
In order to allow the VPN users to access the network through the VPN connection, proceed and modify the Network Policy Server as follows:
1. Right click on Remote Access Logging and Policies and select Launch NPS
2. At the ‘Overview’ tab, select the following settings and click OK:
-
- Grant access: If the connection request matches this policy.
- Remote Access Server (VPN-Dial up)
3. Now open the Connections to other access servers policy, select the same settings and click OK.
-
- Grant access: If the connection request matches this
policy. - Remote Access Server (VPN-Dial
up)
- Grant access: If the connection request matches this
4. Close the Network Policy Server settings.
Step 6. How to Enable L2TP/IPsec Connections Behind NAT.
By default, modern Windows Clients (Windows 10, 8, 7 or Vista) and the Windows Server 2016, 2012 & 2008 operating systems do not support L2TP/IPsec connections if the Windows computer or the VPN server are located behind a NAT. To bypass this problem you have to modify registry as follows, in the VPN Server and the Clients:
1. Simultaneously press the Windows 
+ R keys to open run command box.
2. Type regedit and press Enter.
3. At the left pane, navigate to this key:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesPolicyAgent
4. Right click on PolicyAgent and select New –> DWORD (32 bit) Value.
5. For the new key name type: AssumeUDPEncapsulationContextOnSendRule and press Enter.
* Note: The value must be entered as shown above and with no space.
6. Double click on this new DWORD key and enter for Value data: 2
7. Close Registry Editor. *
* Important: To avoid problems when connecting to your VPN server from a Windows client computer (Windows Vista, 7, 8, 10, and 2008 Server), you must apply this registry fix to clients too.
8. Reboot the machine.
Step 7. Verify that IKE & IPsec Policy Agent services are running.
After the restart, go to services control panel and make sure that the following services are up and running. To do that:
1. Simultaneously press the Windows + R keys to open run command box.
2. In run command box, type: services.msc and press Enter.
3. Make sure that the following services are running: *
-
- IKE and AuthIP IPsec Keying Modules
- IPsec Policy Agent
* Notes:
1. If the above services are not running, then double click on each service and set the Startup Type to Automatic. Then click OK and restart the server.
2. You must ensure that the above services are also running in the Windows client machine.
Step 8. How to Select which users will have VPN Access.
Now it’s time to specify which users will be able to connect to the VPN server (Dial-IN permissions).
1. Open Server Manager.
2. From Tools menu, select Active Directory Users and Computers. *
* Note: If your server doesn’t belong to a domain, then go to Computer Management -> Local Users and Groups.
3. Select Users and double click on the user that you want to allow the VPN Access.
4. Select the Dial-in tab and select Allow access. Then click OK.
Step 9. How to Configure Firewall to Allow L2TP VPN Access (Port Forwarding).
The next step is allow the VPN connections in your Firewall.
1. Login to router’s web interface.
2. Inside the Router configuration setup, forward the ports 1701, 50, 500 & 4500 to the IP address of the VPN Server. (See your Router’s manual on how to configure Port Forward).
- For example, if the VPN Server has the IP address «192.168.1.8» then you have to forward all the above mentioned ports to that IP.
Additional Help:
- In order to be able to connect to your VPN server from a distance you have to know the public IP Address of the VPN server. To find the pubic IP Address (from the VPN Server PC) navigate to this link: http://www.whatismyip.com/
- To ensure that you can always connect to your VPN server it is better to have a Static Public IP Address. To obtain a Static Public IP Address you must contact your internet service provider. If you don’t want to pay for a static IP Address, then you can setup a free Dynamic DNS service (e.g. no-ip.) on your router’s (VPN Server) side.
Step 10. How to Setup the L2TP VPN Connection on a Windows Client Computer.
The final step is to create a new L2TP/IPSec VPN connection to our VPN Server 2016 on the client computer, by following the instructions below:
- Related article: How to Setup a PPTP VPN Connection on Windows 10.
ATTENTION: Before you continue to create the VPN Connection, proceed and apply the registry fix in step-6 above, on the client computer too.
1. Open Network and Sharing Center.
2. Click Set up a new connection or network
3. Select Connect to workplace and click Next.
4. Then select Use my Internet connection (VPN).
5. On the next screen type the VPN’s server public IP Address and the VPN Port that you have assigned on the router side and then click Create.
e.g. If the external IP address is: 108.200.135.144, then type: «108.200.135.144» at Internet Address box and at ‘Destination name’ filed, type any name you want (e.g. «L2TP-VPN»).
6. Type the username and the password for the VPN connection and click Connect.
7. If you setup the VPN on a Windows 7 client machine it will try to connect. Press Skip and then click Close, because you need to specify some additional settings for the VPN connection.
8. On Network and Sharing center click on Change adapter settings on the left.
9. Right click on the new VPN connection (e.g. «L2TP-VPN») and select Properties.
10. Select the Security tab and choose Layer 2 (Tunneling Protocol with IPsec (L2TP/IPsec) and then click on Advanced settings.
11. In ‘Advanced settings’ type the Preshared key (e.g. «TestVPN@1234» in this example) and click OK
12. Then click on Allow these protocols and select the Microsoft CHAP Version 2 (MS-CHAP v2)
13. Then select the Networking tab. We will double click on Internet Protocol Version 4 (TCP/IPv4) to open its Properties.
14. For Preferred DNS server type the Local IP Address of the VPN Server (e.g. «192.168.1.8» in this example). *
* Note: This setting is optional, so apply it only if you needed.
15. Then click the Advanced button and uncheck the Use default gateway on remote network because we want to separate our PC Internet browsing from VPN connection.
16. Finally click OK continually to close all windows.
17. Now double click on the new VPN connection and click Connect, to connect to your workplace.
That’s it! Let me know if this guide has helped you by leaving your comment about your experience. Please like and share this guide to help others.
If this article was useful for you, please consider supporting us by making a donation. Even $1 can a make a huge difference for us in our effort to continue to help others while keeping this site free:
If you want to stay constantly protected from malware threats, existing and future ones, we recommend that you install Malwarebytes Anti-Malware PRO by clicking below (we
do earn a commision from sales generated from this link, but at no additional cost to you. We have experience with this software and we recommend it because it is helpful and useful):
Full household PC Protection — Protect up to 3 PCs with NEW Malwarebytes Anti-Malware Premium!
Zip File, мои юные любители сисадминства. Нынче мы затронем такую балдёжную тему, как настройка VPN. Эта аббревиатура означает виртуальную частную сеть. С её помощью можно осуществлять подключение к рабочей сети вашего предприятия через безопасный канал. Такая схема позволяет использовать все внутренние ресурсы ЛВС, такие как общие папки, принтеры, почту и т.д. находясь за тысячи километров от офиса.
Для работы нам понадобится Windows Server, который имеет белый IP и выход за NAT. Т.к. данный урок я снимаю преимущественно для слушателей закрытой академии Kurets.Ru, весь процесс поднятия VPN будет продемонстрирован на версии сервера 2016 года. Данный релиз является наиболее актуальным и распространённым на сегодняшний день.
Однако тот же алгоритм действий вполне применим, как более новой версии 2019 года, так и к устаревшим 2012 и 2008 года соответственно. В качестве клиента будет использоваться стандартная рабочая станция с Windows 10. Такие дела. Что ж, ребятки, меньше слов, больше дела. Не будем сёдня долго запрягать. Погнали настраивать.
Шаг 1. Первым делом заходим на сервер в корпоративной сети и в оснастке «Диспетчер серверов» кликаем по пункту «Добавить роли и компоненты».
Шаг 2. Далее.
Шаг 3. Оставляем параметр «Установка ролей и компонентов».
Шаг 4. В данном окне выбираем сервер, на котором собираемся поднимать службу VPN. У нас выбор не велик. Жмём «Далее».
Шаг 5. Отмечаем пункт «Удалённый доступ». Next.
Шаг 6. В компонентах ничего не меняем.
Шаг 7. Знакомимся с информацией о том, что такое в принципе VPN и зачем нужен удаленный доступ.
Шаг 8. Отмечаем галочкой параметр «DirectAccess и VPN» и добавляем необходимые компоненты.
Шаг 9. Далее.
Шаг 10. Далее.
Шаг 11. Всё. Можно приступить к установке. Кликаем по соответствующей кнопке и идём заваривать чай.
Шаг 12. По завершению установки закрываем данную оснастку.
Шаг 13. В диспетчере серверов раскрываем «Средства» и ищем пункт «Маршрутизация и удаленный доступ».
Шаг 14. Видим слева наш сервер, отмеченный красной меткой. Данный цвет кружка свидетельствует о том, что сервер VPN не настроен и соответственно не функционирует. Исправим это недоразумение. Кликаем правой кнопкой. «Настроить и включить маршрутизацию и удаленный доступ».
Шаг 15. Выбираем пункт «Особая конфигурация».
Шаг 16. Отмечаем «Доступ к виртуальной частной сети (VPN)».
Шаг 17. И после нажатия на «Готово» в последнем окне кликаем по кнопке «Запустить службу».
Шаг 18. Сервер взлетел. Остались нюансы. Вызываем контекстное меню. «Свойства».
Шаг 19. У меня на учебном сервере не настроен DHCP, поэтому на вкладке IPv4 укажем статический пул адресов. Из этого диапазона будут получать настройки наши рабочие станции, которые мы далее будем подключать извне.
Шаг 20. Отлично. Диапазон задали. Теперь затронем вопрос безопасности. Переходим на соответствующую вкладку и отмечаем параметр «Разрешить пользовательские политики IPsec для L2TP». Вводим секретный ключ, который будет использоваться для подключения к нашей корпоративной сети из интернета. Жмём «Применить» и в появившемся окне соглашаемся с предупреждением о важности перезапуска службы маршрутизации.
Шаг 21. Перезапускать мы её будем прямо сейчас. В диспетчере привычным движением раскрываем «Средства» — «Службы».
Шаг 22. Ищем в длинном списке «Маршрутизация и удаленный доступ» и вызвав контекстное меню, перезапускаем эту историю.
Шаг 23. Осталось подумать, каким пользователям будет предоставлен доступ к нашей частной сети. У меня данная тачка не в домене. Т.к. подразумевается, что она выполняет исключительно роль общей шары. Поэтому будем мудрить с локальными пользюками. Открываем в пуске «Управление компьютером» и на соответствующей вкладке отмечаем нужного пользователя. Я заранее создал одного Юзверя.
Шаг 24. Заходим в свойства данной учётки и на вкладке «Входящие звонки» разрешаем «Права доступа к сети». Применяем наши изменения.
Шаг 25. И переходим к настройке клиентского компьютера. У меня это комп на Windows 10. Отмечу, что он не находится в одной сети с сервером, но при этом имеет выход в Интернет. Открываем «Центр управления сетями и общим доступом» и далее «Создание и настройка нового подключения или сети».
Шаг 26. В открывшемся окне помощника выбираем пункт «Подключение к рабочему месту».
Шаг 27. «Использовать моё подключение к интернету».
Шаг 28. Вводим белый ip-адрес нашего сервера, который выведен за NAT. И при желании изменяем название подключения. Я оставлю по умолчанию. Ждём «Создать».
Шаг 29. Хорошо. Далее заходим в «Свойства» созданного подключения.
Шаг 30. И на вкладочке «Сеть» раскрываем «Свойства» компонента IPv4. Жмём «Дополнительно» и снимаем галочку с пункта «Использовать основной шлюз в удаленной сети». Это очень важный момент. Если этого не сделать, то сразу после подключения к корпоративной сети, ваше локальное подключение к Интернету на компьютере пропадёт, ибо по умолчанию VPN использует шлюз удалёнки. Так что будьте предельно внимательны и не пропускайте данный шаг при настройке внешних рабочих станций.
Шаг 31. Сохраняем изменения и переходим на вкладочку «Безопасность». Тут нам необходимо изменить тип протокола на «L2TP» и в дополнительных параметрах задать «Ключ для проверки подлинности», который мы ранее указывали на сервере.
Шаг 32. Всё, братцы. Теперь смело можно подключаться. Кликаем по значку сети на панели задач и выбираем наше подключение.
Шаг 33. Вводим данные от учетной записи пользователя. Помним, что в данном примере мы разрешали доступ к нашей сети извне только одному Юзверю.
Шаг 34. И дожидаемся статуса «Подключено». С этого момента мы находимся в корпоративной сети, а следовательно можем пользоваться её ресурсами.
Шаг 35. Давайте попробуем проверить функционал общих папок. Открываем проводник и в адресной строке вводим ip сервера.
Шаг 36. Через некоторое время видим расшареную папку «Общий обмен». Это свидетельствует о том, что наше VPN-подключение к серверу сконфигурировано корректно.
Более подробно о том, как создавать общие папки, настраивать квоты и в целом производить полную настройку виндового сервера, что называется, под ключ. Вы можете узнать в нашем полноценном обучающем курсе по администрированию Windows Server 2016.
Друзья, сегодня мы научились создавать защищённое VPN-соединение. С его помощью вы сможете не только наладить свою собственную работу на удалёнке и выполнять большую часть задач прямо из дома, но также при возникновении соответствующей потребности объединить сети нескольких филиалов в единый канал.
Если урок оказался полезным, то не забудьте поставить лайк этому видео и оформить подписку с колокольчиком. Таким образом вы первыми будете получать информацию о новых выпусках. В заключении, традиционно, хочу пожелать вам удачи, успеха и самое главное отличного настроения. Берегите себя и свои сервера. До новых встреч.
Платформа Windows Server остается одной из наиболее популярных серверных платформ, в том числе и для реализации решений удаленного доступа. Служба маршрутизации и удаленного доступа (RRAS) позволяет быстро и достаточно просто развернуть VPN-сервер практически для любых нужд. Сегодня мы еще раз вернемся к этому вопросу и рассмотрим, как создать на базе Windows Server PPTP или L2TP сервер для удаленного доступа, как наиболее востребованный сценарий на сегодняшний день.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Почему именно эти типы подключения? Потому что они наиболее просты в реализации и поддерживаются широким спектром клиентов что называется «из коробки». Однако следует помнить, что PPTP не является на сегодняшний день безопасным и имеет слабые алгоритмы шифрования, но при этом он наиболее производительный из VPN-протоколов и имеет минимальные накладные расходы. Кроме того, его поддержка исключена из операционных систем Apple.
Оптимальным вариантом будет использование L2TP/IPsec подключения, которое сочетает в себе простоту, поддержку практически любыми клиентскими ОС и устройствами вместе с неплохим уровнем безопасности, обеспечиваемым IPsec. А так как настройка сервера для этих видов подключений практически идентична, то мы решили объединить их в одну статью.
Установка и настройка службы маршрутизации и удаленного доступа
Для начала работы с VPN в среде Windows Server вам потребуется установить роль Удаленный доступ, это делается стандартными средствами и не должно вызвать затруднений.
В Службах ролей выбираем Маршрутизация, роль DirectAccess и VPN (RAS) будет добавлена автоматически.
После установки роли Удаленный доступ ее следует настроить, проще всего это сделать, нажав на значок с желтым треугольником в Диспетчере серверов и выбрать в появившемся списке пункт Запуск мастера начальной настройки.
В появившемся окне выбираем пункт Развернуть только VPN.
Затем в оснастке Маршрутизация и удаленный доступ щелкаем правой кнопкой мыши по строке с сервером и выбираем в выпадающем меню Настроить и включить маршрутизацию и удаленный доступ.
После чего появится хорошо знакомое окно мастера настройки, предлагающее сразу несколько типовых конфигураций, однако у него есть свои особенности, например, если у вашего сервера всего один сетевой интерфейс, то настроить вариант Удаленный доступ (VPN или модем) мастер вам не даст. Поэтому выбираем самый нижний пункт — Особая конфигурация.
В следующем окне достаточно поставить галочку Доступ к виртуальной частной сети (VPN) и завершить работу мастера.
После завершения работы мастера служба Маршрутизации и удаленного доступа будет запущена и можно приступить к настройке сервера удаленного доступа. Если же данная служба у вас уже установлена и настроена в иной конфигурации, то щелкните правой кнопкой по строке сервера и выберите Свойства, в открывшемся окне на закладке Общие установите опции: IPv4-маршрутизатор локальной сети и вызова по требованию и IPv4-сервер удаленного доступа.
Настройка PPTP и/или L2TP сервера удаленного доступа
Настройка PPTP и/или L2TP сервера удаленного доступаОткроем оснастку Маршрутизация и удаленный доступ и перейдем к свойствам сервера через одноименный пункт в меню правой кнопки мыши, прежде всего убедимся, что настройки на закладке Общие соответствуют приведенным на скриншоте выше. Затем переключимся на закладку Безопасность и убедимся, что в качестве Поставщика службы проверки подлинности стоит Windows — проверка подлинности, а Поставщик учета — Windows-учет, еще ниже установим флаг Разрешить пользовательские политики IPsec для L2TP- и IKEv2-подключения и в поле Общий ключ укажите парольную фразу для предварительного ключа.
Нажав на кнопку Методы проверки подлинности откроем окно, в котором выберем только Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2), остальные протоколы не являются безопасными и должны быть отключены.
На закладке IPv4 укажем опцию Назначение IPv4-адресов — Статический пул адресов и добавим новый пул для выдачи адресов из него удаленным клиентам. Количество адресов должно быть не менее количества клиентов плюс один адрес, так как первый адрес из пула присваивается серверу. Что касается самого диапазона адресов, то его выбор зависит от конфигурации сети, если вы будете использовать маршрутизацию, то он не должен пересекаться с локальной сетью, если же хотите использовать ProxyARP, то наоборот, должны выделить принадлежащий локальной сети диапазон. В нашем случае используется второй вариант.
На этом настройка сервера может считаться законченной, следующим шагом следует разрешить подключения нужным пользователям, для этого в свойствах пользователя перейдем на закладку Входящие звонки и в блоке Права доступа к сети укажем Разрешить доступ. Теперь указанный пользователь может подключаться к нашему серверу используя свои учетные данные.
Также не забудьте проверить настройки брандмауэра, чтобы убедиться, что правила Маршрутизация и удаленный доступ GRE-входящий, PPTP-входящий (для PPTP) и L2TP-входящий (для L2TP) включены.
Proxy ARP
Proxy ARPСетевое взаимодействие в пределах одной IP-сети осуществляется на канальном (L2) уровне, в сетях Ethernet для этого используются MAC-адреса устройств. Для того, чтобы выяснить MAC-адрес узла по его IP применяется протокол ARP (Address Resolution Protocol), использующий широковещательные запросы, на которые отвечает только обладатель указанного IP-адреса. Выдавая удаленным клиентам адреса из диапазона основной сети мы как бы помещаем их в общую IP-сеть, но так как VPN — это соединение точка-точка, ARP-запросы от удаленных клиентов в сеть попадать не будут, единственный узел который их получит — сам VPN-сервер.
Для решения данной проблемы используется технология Proxy ARP, которая, как понятно из названия, представляет прокси-сервер для ARP-запросов, позволяя удаленным клиентам работать так, как будто бы они действительно находились в одной сети, без каких-либо дополнительных настроек. При использовании RRAS никаких дополнительных действий делать не нужно, Proxy ARP работает по умолчанию.
VPN-сервер за NAT
Так как мы используем Windows Server, то с большой долей вероятности он будет находиться внутри сетевого периметра и нам понадобится настроить проброс портов на маршрутизаторе. Для этого нужно четко понимать, как работает VPN-соединение и какие порты и протоколы следует передавать.
Начнем с PPTP, прежде всего клиент устанавливает управляющее TCP-соединение на порт 1723, затем, после успешной аутентификации создается соединение для передачи данных с использованием протокола GRE.
Таким образом для работы PPTP-сервера за NAT нужно:
- пробросить порт 1723 TCP
- разрешить прохождение GRE-трафика
С первым понятно, а вот с GRE могут возникнуть затруднения. Если вы используете маршрутизатор на базе Linux, то обратитесь к следующей нашей статье, если оборудование Mikrotik, настроенное по нашей инструкции, то достаточно пробросить только 1723 TCP, прохождение GRE будет разрешено конфигурацией брандмауэра, в остальных случаях следует обратиться к документации на свою модель маршрутизатора.
С L2TP сложнее, точнее не с ним самим, а с IPsec, который не поддерживает NAT. Для обхода этих ограничений используется протокол NAT-T, который инкапсулирует пакеты IPsec в UDP, позволяя успешно проходить через NAT. Поддержка данного протокола включена по умолчанию практически во всех ОС, кроме Windows. Для включения поддержки NAT-T следует внести изменения в реестр, найдите ветку:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgentИ создайте в ней параметр DWORD c именем AssumeUDPEncapsulationContextOnSendRule и значением 2.
Это можно быстро сделать при помощи PowerShell:
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesPolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 -ForceПосле чего систему следует перезагрузить. Данные изменения нужно внести как на сервере, так и на клиенте.
При установлении L2TP/IPsec соединения между узлами прежде всего создается зашифрованный IPsec-канал, для этого используется протокол обмена ключами IKE (порт 500 UDP) и протокол NAT-T (порт 4500 UDP), затем уже внутри безопасного IPsec-соединения поднимается L2TP-туннель на порт 1701 UDP и происходит аутентификация пользователя.
Обратите внимание, аутентификация пользователя в L2TP, в отличии от PPTP, происходит внутри защищенного IPsec-канала, что делает данный тип соединения более безопасным.
Таким образом для работы L2TP/IPsec сервера за NAT нужно:
- пробросить порт 500 UDP
- пробросить порт 4500 UDP
- внести изменения в реестр для включения NAT-T как на сервере, так и на клиенте (только для Windows)
Вопреки распространенному заблуждению порт 1701 UDP пробрасывать не нужно.
Настройка VPN-подключения в Windows
С одной стороны это простой вопрос, с другой — имеются определенные тонкости, на которые мы как раз и обратим внимание. В Windows 10 для первичной настройки VPN-подключения служит современное приложение, которое предельно простое и не охватывает дополнительных настроек.
Поэтому после того, как вы создадите в нем подключение, следует перейти к его свойствам и на закладке Параметры — Параметры PPP установить в открывшемся окне все флажки. Это позволит использовать все возможности протокола PPP и получить оптимальное качество связи. Обратите внимание, что данные опции должны также поддерживаться со стороны сервера, в противном случае их использование в одностороннем порядке может привести к ошибкам при установлении связи.
Затем на закладке Безопасность установите в Шифрование данных — обязательное, а в пункте Проверка подлинности выберите Протокол расширенной проверки подлинности (EAP).
И наконец на закладке Сеть перейдите в свойства протокола IP версии 4 (TCP/IP 4) и нажмите Дополнительно, в открывшемся окне снимите флаг Использовать основной шлюз в удаленной сети, в противном случае весь исходящий трафик будет направлен в туннель.
После чего можем подключаться и пробовать получить доступ к ресурсам удаленной сети, если вы все сделали правильно, то проблем возникнуть не должно.
Настройка VPN-подключения в Linux
В данной части нашего материала мы будем рассматривать настройку клиентских Linux-систем при помощи графического окружения и Network Manager, настройка серверных систем выходит за рамки текущей статьи. В качестве примера мы будем использовать Ubuntu, но все сказанное будет справедливо для любых основанных на Debian систем, а с некоторыми уточнениями — для любых дистрибутивов.
Поддержка PPTP присутствует практически в любом дистрибутиве по умолчанию. Достаточно перейти в Настройки — Сеть и добавить новое VPN-подключение.
Заполняем основные настройки: адрес сервера, имя и пароль пользователя.
Затем нажимаем кнопку Дополнительно и в открывшемся окне в разделе Аутентификация оставляем только MSCHAPv2, обязательно включаем Использовать шифрование MPPE и выбираем ниже 128 бит (наиболее защищенное), также устанавливаем флаг Включить Stateful Encryption для уменьшения накладных расходов на шифрование. Флаги сжатия оставляем включенными.
Закрываем данное окно с сохранением данных и переходим на закладку IPv4, где в разделе Маршрутизация устанавливаем флаг Использовать это подключение только для ресурсов этой сети, в противном случае в туннель пойдет весь трафик узла.
На этом настройка подключения завершена, можно подключаться.
Для работы с L2TP потребуется установить дополнительные пакеты:
apt install network-manager-l2tp-gnomeПосле чего в доступных типах подключения появится L2TP. Основные настройки ничем не отличаются от PPTP, также адрес сервера, имя и пароль пользователя.
Затем откроем Настройки PPP, в разделе Аутентификация также выберем только MSCHAPv2, а вот опции шифрования оставляем выключенными, так как чистый L2TP шифрования не использует, для защиты канала здесь применяется IPsec. Флаги сжатия также оставляем установленными по умолчанию.
Затем переходим в Настройки IPsec, это наиболее сложная и ответственная часть настроек, так как от них напрямую зависит безопасность соединения. В поле Pre-shared key введите Общий ключ, а ниже потребуется указать используемые шифры. Большинство материалов в сети интернет копируют друг у друга откровенно старые и слабые наборы шифров, что не соответствует реалиям сегодняшнего дня, хотя соединение с такими значениями будет работать. Мы же будем использовать максимально безопасные значения, для этого в поле Phase1 Algorithms укажите aes256-sha1-ecp384, а в поле Phase2 Algorithms — aes256-sha1.
Также имеет смысл установка флага Enforce UDP Encapsulation, который принудительно включает NAT-T, в случае если вы точно знаете, что ваш сервер находится за NAT, без этой опции протокол включается автоматически при обнаружении первого устройства с NAT.
Сохраняем настройки и переходим на вкладку IPv4, где также в разделе Маршрутизация ставим флаг Использовать это подключение только для ресурсов этой сети, чтобы направить в туннель только трафик для сети офиса.
На этом настройка закончена, можно подключаться.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
1
В Мастере добавления ролей и компонентов необходимо отметить галочкой Удаленный доступ и нажать Далее.
2
Переходим на вкладку Службы ролей и отмечаем галочкой DirectAccess и VPN (RAS).
3
В появившемся окне нажимаем кнопку Добавить компоненты.
4
После того как окно закрылось нажимаем Далее.
5
Выбираем пункт Подтверждение и нажимаем Установить.
6
После завершения установки закрываем окно мастера.
7
Заходим в раздел Маршрутизация и удаленный доступ выбираем пункт Настроить и включить маршрутизацию и удаленный доступ.
8
В появившемся мастере жмем Далее.
9
Выбираем Особая конфигурация.
10
Ставим галочку напротив пункта Доступ к виртуальной частной сети (VPN) и жмем Далее.
11
Завершаем работу мастера — жмем Готово.
12
Появится окно с предложением запустить службу. Выбираем Запустить службу.
13
Снова заходим в Маршрутизация и удаленный доступ и выбираем Свойства.
14
Добавляем интервал адресов для VPN соединения — переходим на вкладку IPv4 и жмем Добавить.
15
В появившемся окне заполняем диапазон и жмем ОК.
16
Готово. Сервер настроен. Для того чтобы удаленные пользователи смогли подключиться, разрешаем доступ в свойствах пользователей или групп на вкладке Входящие звонки.
В начало статьи
Не нашли ответа на свой вопрос?
Закажите звонок специалиста!
Закажите звонок специалиста!
This post shows you how you can install a VPN Server on Windows Server 2016 Step-by-Step. It shows you how you can easily setup a VPN server for a small environment or for a hosted server scenario. This blog post covers how you can use Windows Server VPN.
This is definitely not a guide for an enterprise deployment, if you are thinking about a enterprise deployment you should definitely have a look at Direct Access.
I already did similar blog posts for Windows Server 2008 R2, Windows Server 2012 and Windows Server 2012 R2.
- How to Install VPN on Windows Server 2012 R2
- How to Install VPN on Windows Server 2012
- How to Install VPN on Windows Server 2008 R2
- How to Install VPN on Windows Server 2019
You can simply follow this step by step guide:
Install the Windows Server VPN Role
First install the “Remote Access” via Server Manager or Windows PowerShell.
Select the “DirectAccess and VPN (RAS)” role services and click next.
On the next steps just use the default settings. After that you can have a look at the overview screen and install the role.
After the features are installed, which can take a while to finish you see the link for the Getting Started Wizard. Click on “Open the Getting Started Wizard“.
Configure Windows Server VPN
This opens a new wizard which will help you to configure the server. On the first screen select “Deploy VPN only“.
This opens the Routing and Remote Access Management Console
Right click on the Server name and click on “Configure and Enable Routing and Remote Access“.
On the new wizard select “Custom configuration“.
Select “VPN Access“.
After you have click finish you can now start the Routing and Remote Access service.
If you have an other firewall between the internet and your Windows Server you have to open the following Firewall port sand forward them to your Windows Server:
For PPTP: 1723 TCP and Protocol 47 GRE (also known as PPTP Pass-through)
For L2TP over IPSEC: 1701 TCP and 500 UDP
For SSTP: 443 TCP
After the installation Users have to be enabled for Remote Access to connect to your VPN Server. On a standalone server this can be done in the Computer Management MMC, in a domain environment this can be done in the user properties of an Active Directory user.
If you don’t have a DHCP Server in your environment you have to add a static IP address pool. This is often needed if you have a single server hosted at a service provider. In the properties of your VPN server you can click on the IPv4 tab and enable and configure the “Static address pool”.
You now have to add a IP address from the same subnet as your static address pool to the network interface of your server, so users can access the server.
I hope this helps you to setup a VPN server in a small environment, lab or hosted server.
Tags: Direct Access, GRE, installation, L2TP, Microsoft, PPTP, RAS, Remote Access, routing, setup, SSTP, VPN, VPN Server, Windows, Windows Server, Windows Server 2016, Windows Server VPN Last modified: April 25, 2019
About the Author / Thomas Maurer
Thomas works as a Senior Cloud Advocate at Microsoft. He engages with the community and customers around the world to share his knowledge and collect feedback to improve the Azure cloud platform. Prior joining the Azure engineering team, Thomas was a Lead Architect and Microsoft MVP, to help architect, implement and promote Microsoft cloud technology.
If you want to know more about Thomas, check out his blog: www.thomasmaurer.ch and Twitter: www.twitter.com/thomasmaurer